Genera búsquedas con Gemini

Compatible con:

En este documento, se explica cómo puedes usar Gemini para generar búsquedas desde el panel de Gemini o cuando usas la búsqueda de Google Security Operations.

Para obtener mejores resultados, te recomendamos que uses el panel de Gemini para generar búsquedas.

Genera una búsqueda con el panel de Gemini

  1. Accede a Google SecOps.
  2. Haz clic en el logotipo de Gemini para abrir el panel de Gemini.

  3. Ingresa una instrucción en lenguaje natural y presiona Intro. La instrucción en lenguaje natural debe estar en inglés.

    Abre el panel de Gemini y escribe la instrucción

    Figura 1. Abre el panel de Gemini y escribe la instrucción.

  4. Revisa la búsqueda generada. La búsqueda usa la sintaxis de YARA-L 2.0. Si la búsqueda generada cumple con tus requisitos, haz clic en Ejecutar búsqueda. Gemini produce un resumen de los resultados junto con las acciones sugeridas.

Ejemplos de instrucciones de búsqueda y preguntas de seguimiento

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Genera una búsqueda con lenguaje natural

Con la función de búsqueda de Google SecOps, puedes ingresar una consulta en lenguaje natural sobre tus datos, y Gemini puede traducirla en una consulta de búsqueda para ejecutarla en los eventos del UDM.

Para obtener mejores resultados, te recomendamos que uses el panel de Gemini para generar búsquedas.

Para usar una búsqueda en lenguaje natural y crear una consulta de búsqueda, completa los siguientes pasos:

  1. Accede a Google SecOps.
  2. Ve a Investigación > Búsqueda en el SIEM.

  3. Ingresa una instrucción de búsqueda en la barra de consultas en lenguaje natural y haz clic en Generar consulta. Debes usar el inglés para la búsqueda.

    Ingresa una búsqueda en lenguaje natural y haz clic en Generar consulta.

    Figura 2. Ingresa una búsqueda en lenguaje natural y haz clic en Generar consulta.

    Las siguientes declaraciones son ejemplos que podrían generar una búsqueda útil:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Si la instrucción de búsqueda incluye un término basado en el tiempo, el selector de tiempo se ajusta automáticamente para que coincida. Por ejemplo, se aplicaría a las siguientes búsquedas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Si no se puede interpretar la instrucción de búsqueda, verás el siguiente mensaje:
    "No se pudo generar una búsqueda válida. Intenta preguntar de otra manera".

  4. Revisa la búsqueda generada. La sintaxis es YARA-L 2.0.

  5. Opcional: Ajusta el período de búsqueda.

  6. Haz clic en Ejecutar búsqueda.

  7. Revisa los resultados de la búsqueda para determinar si el evento está presente. Si es necesario, usa filtros de búsqueda para reducir la lista de resultados.

  8. Proporciona comentarios sobre la consulta con los íconos de comentarios de Consulta generada. Selecciona una de las siguientes opciones:

    • Si la búsqueda devuelve los resultados esperados, haz clic en thumb_up Me gusta.
    • Si la búsqueda no devuelve los resultados esperados, haz clic en thumb_down No me gusta.
    • Opcional: Incluye detalles adicionales en el campo Comentarios.

  9. Para enviar una búsqueda revisada que ayude a mejorar los resultados, sigue estos pasos:

    1. Edita la búsqueda que se generó.
    2. Haz clic en Enviar.
      • Si no reescribiste la búsqueda, se te pedirá que la edites.
      • Si reescribiste la búsqueda, la consulta de búsqueda revisada se depura para quitar los datos sensibles y se usa para mejorar los resultados.

Cómo borrar una sesión de chat

Puedes borrar tu sesión de conversación de chat o todas las sesiones de chat. Gemini mantiene de forma privada todos los historiales de conversaciones de los usuarios y cumple con las prácticas de IA responsable de Google Cloud. El historial del usuario nunca se usa para entrenar modelos.

  1. En el panel de Gemini, selecciona Borrar chat en el menú de la parte superior derecha.
  2. Haz clic en Borrar chat en la esquina inferior derecha para borrar la sesión de chat actual.
  3. Opcional: Para borrar todas las sesiones de chat, selecciona Borrar todas las sesiones de chat y, luego, haz clic en Borrar todos los chats.

Proporcionar comentarios

Puedes proporcionar comentarios sobre las respuestas generadas por la asistencia para investigaciones de IA de Gemini. Tus comentarios ayudan a Google a mejorar la función y el resultado que genera Gemini.

  1. En el panel de Gemini, haz clic en thumb_up Me gusta o thumb_down No me gusta.
  2. Opcional: Haz clic en thumb_down No me gusta y envía comentarios.
  3. Haz clic en Enviar comentarios.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.